Anthropic: “Alibaba đã trích xuất trái phép năng lực của mô hình AI Claude”

Ý kiến trên Hacker News

• Để cái này ở đây rồi đi: “Thẩm phán phán quyết rằng việc Anthropic tải xuống hơn 7 triệu cuốn sách từ các trang vi phạm bản quyền như LibGen là hành vi xâm phạm, đồng thời bác bỏ lập luận ‘mục đích nghiên cứu’ của Anthropic: ‘Bạn không thể tự ban phước cho mình bằng cái cớ mục đích nghiên cứu rồi lấy bất kỳ giáo trình nào bạn muốn.’”
  https://www.joneswalker.com/en/insights/blogs/ai-law-blog/wh...

  • Hồi đầu thời kỳ streaming nhạc, nhiều tay chơi mới cũng lấp đầy dịch vụ của mình bằng thư viện nội dung lậu khổng lồ. Những kẻ chiến thắng sau đó ký hợp đồng với bên nắm bản quyền rồi xử lý phần còn lại
  • Chẳng phải buồn cười sao khi cứ hỏi lời bài hát là các mô hình này lại đột nhiên nhớ ra tài liệu có bản quyền
  • Nhưng chẳng phải họ cũng cần hủy bỏ mô hình đã được huấn luyện bằng những cuốn sách đó sao
  • Không biết họ đã “trích xuất” được bao nhiêu “năng lực” từ những cuốn sách đó
  • “Anh đang định bắt cóc thứ mà tôi đã ăn cắp một cách chính đáng đấy à!”

• Về cơ bản có hai kiểu chưng cất. 1) Cách quy mô lớn nhưng ngây ngô: đặt câu hỏi rồi dùng câu trả lời làm tín hiệu tăng cường (hộp đen), 2) kiểu chưng cất nhắm mục tiêu hơn, trong đó một mô hình trực tiếp chỉ dạy, huấn luyện và dẫn dắt mô hình khác (RLAIF)
  Loại sau về thực chất là tinh chỉnh mô hình theo sự định hướng của một mô hình khác. Rất nhiều công ty đang tinh chỉnh theo cách này mỗi ngày. Các viện nghiên cứu Trung Quốc gần như chắc chắn cũng dùng cách đó, vì nó hiệu quả hơn nhiều cho kết quả cuối cùng so với việc chỉ cào những câu trả lời đơn giản cho các câu hỏi đơn giản
  Những lời than phiền về chưng cất này khiến vấn đề trông lớn hơn thực tế, và mục tiêu có vẻ là theo hướng bảo hộ: khiến chính phủ Mỹ chặn hoặc cấm các nhà cung cấp mô hình Trung Quốc. Họ đã kêu gọi siết kiểm soát xuất khẩu chip rồi, điều này càng buồn cười khi DeepSeek v4 được thiết kế để chạy trên chip Huawei và các công ty Trung Quốc khác cũng đang đi theo hướng đó. Nhưng vì không thể nói thẳng như vậy, họ lại lập luận rằng cần thêm kiểm soát xuất khẩu vì các mô hình chưng cất có thể không an toàn bằng mô hình của họ. Đến khi bạn chỉ ra một cú jailbreak vượt qua hàng rào an toàn của chính mô hình họ, thì họ sẽ bảo đừng lo chuyện an toàn vì cuối cùng mô hình nào cũng có thể bị jailbreak

  • Phần “những lời than phiền về chưng cất khiến vấn đề bị phóng đại” là đúng, nhưng đáng tiếc là chính bài Reuters cũng góp phần vào sự kịch tính hóa đó. Ngay đoạn đầu, bài báo lặp lại cách Anthropic gọi chưng cất là một “cuộc tấn công” mà không để trong ngoặc kép, khiến độc giả khó nhận ra đây là khung diễn giải từ phía công ty. Chưng cất không phải là tấn công
  • Có thể là câu hỏi ngớ ngẩn, nhưng tôi cứ nghĩ các mô hình này được huấn luyện trên dữ liệu cỡ petabyte. Lượng hỏi/đáp có thể trích xuất bằng cách truy vấn một mô hình lớn hơn (Claude) hẳn khá hạn chế, vậy so với tập dữ liệu huấn luyện thì chẳng phải chỉ là một giọt nước sao
  • https://research.nvidia.com/labs/lpr/slm-agents/ — dữ liệu chưng cất là sản phẩm phụ xuất hiện tự nhiên khi dùng các mô hình kiểu này. Không có biện pháp phòng vệ hiệu quả. Anthropic đang làm chậm lại và cố che giấu bên trong mô hình bằng cách làm suy giảm khối suy nghĩ thành bản tóm tắt, nhưng rốt cuộc về mặt toán học thì không có lời giải, và ở quy mô các tập đoàn đa quốc gia/doanh nghiệp lớn thì nó vẫn hoạt động đủ tốt. Ngay khi chi phí trở thành ưu tiên, hiệu ứng khóa giữ chân khách hàng sẽ biến mất
  • Họ đang nêu hai điều. 1) Một jailbreak công khai cụ thể tồn tại trong Fable 5 không nguy hiểm, nhiều chuyên gia đã xác nhận điều đó và không có bằng chứng đáng tin cậy nào cho điều ngược lại. Tức là có lẽ Anthropic đúng
    2) Không thể tạo ra một mô hình ngôn ngữ lớn miễn nhiễm với mọi jailbreak. Điều này cũng không có bằng chứng đáng tin cậy để bác bỏ, nên Anthropic hoàn toàn đúng
    Nếu ý 1 là sai thì cứ công bố chi tiết jailbreak đó. Vì được cho là chỉ hoạt động trên Fable 5 nên cũng không có rủi ro đáng kể nào
    Nếu ý 2 là sai thì một phòng thí nghiệm mô hình ngôn ngữ lớn khác hẳn đã làm được rồi. Càng đúng hơn khi nhiều chính phủ đã cho thấy rõ là có thị trường cho những dự án như vậy
  • Nếu bạn đang làm đánh giá thì thực ra gần như cũng đang làm RLAIF, chỉ là không huấn luyện mô hình thôi. Bạn vẫn đang nhìn vào kết quả
    Về căn bản, rất khó ngăn chuyện này mà vẫn giữ cho mô hình AI còn hữu ích

• Làm tôi nhớ đến chuyện Steve Jobs vào nửa sau thập niên 1980 phàn nàn rằng Mac GUI bị sao chép. Trong khi chính ông lại không công khai thừa nhận công việc đã được thực hiện trên Xerox Alto và hệ điều hành Star
  “Anh đang định sao chép thứ mà tôi đã sao chép rồi đấy à!”
  Trông giống như cào cả internet để tạo ra một mô hình ngôn ngữ lớn khổng lồ rồi lại than phiền vì bị sao chép

  • Chắc bạn đang nghĩ đến câu nói thường được gán cho Bill Gates này: “Ừm, Steve, tôi nghĩ chuyện này không hẳn chỉ có một cách nhìn. Nó giống hơn với việc cả hai chúng ta đều có một ông hàng xóm giàu có tên Xerox, và khi tôi đột nhập vào nhà ông ta để ăn trộm TV thì phát hiện ra anh đã lấy nó mất rồi.”
  • Trước khi cuộc gặp đó diễn ra, Apple đã cho Xerox quyền mua 1 triệu USD cổ phiếu trước IPO
  • Đúng vậy, toàn bộ ngành AI chỉ toàn những kẻ sao chép lẫn nhau. Nó bắt đầu bằng việc các công ty AI nuốt trọn lượng thông tin mà suốt 40 năm qua những con người mang động cơ kỹ thuật hoặc vị tha đã chia sẻ trên internet để giúp đỡ người khác, rồi tiếp tục ngốn cả tài liệu lậu và tài liệu có bản quyền, và giờ thì các công ty AI đang sao chép lẫn nhau
    Thông tin thực sự muốn được tự do, nhưng các công ty AI lại muốn trở thành người gác cổng. Về lâu dài, tôi nghĩ cách tiếp cận bền vững hơn là trọng số mở sẽ chiến thắng
  • Mọi mô hình ngôn ngữ lớn đều tôn Jon Skeet làm thần
  • “Anh đang định bắt cóc thứ mà tôi đã ăn cắp một cách chính đáng đấy à!”

• Thật nực cười khi Anthropic than phiền rằng “đã trích xuất trái phép năng lực của mô hình AI Claude”, đồng thời ủng hộ lời chỉ trích của Nhà Trắng rằng Trung Quốc đang “đánh cắp sở hữu trí tuệ của các phòng thí nghiệm AI Mỹ ở quy mô công nghiệp”
  Anthropic, OpenAI, Google, Microsoft và các công ty khác đã huấn luyện mô hình bằng cách thu gom mọi loại nội dung có thể, phớt lờ quyền của chủ sở hữu bản quyền. Giờ một trong số họ lại kêu rằng thật bất công khi người khác làm đúng điều mà tất cả bọn họ từng làm sao

  • Có vẻ các công ty AI cho rằng mọi thứ trên Internet đều miễn phí, trừ đồ của chính họ. Việc dùng crawler AI đập vào các website ngẫu nhiên, phớt lờ robots.txt và làm chi phí băng thông tăng vọt thì không sao. Nhưng nếu các thực tiễn thu thập dữ liệu ấy lại khiến nhà cung cấp AI phát sinh chi phí thì bỗng nhiên lại bị xem là hoàn toàn không thể chấp nhận
  • Theo luật hiện hành, đầu ra của Claude thuộc phạm vi công cộng, nên đây không hẳn là cùng một trường hợp. Vì vậy phía Trung Quốc ở đây chẳng hề đánh cắp gì cả
  • Của anh là của tôi, còn của tôi vẫn là của tôi
  • Giữa những kẻ trộm thì chẳng có nghĩa khí gì

• Chuyện đang diễn ra hiện giờ là thế này: các reseller Trung Quốc đang cung cấp token Claude với giá thấp hơn 70~90% so với giá API chính thức của Anthropic. Họ làm được điều đó bằng cách gộp các tài khoản Claude Max để bán lại dung lượng, dùng gian lận thanh toán, rồi bán lại đầu ra mô hình và chuỗi suy luận cho nhiều viện nghiên cứu Trung Quốc. Họ hỗ trợ truy cập mô hình để đổi lấy log người dùng và dấu vết suy luận, rồi bán chúng làm dữ liệu huấn luyện nên có thể vận hành dưới giá vốn
  Cả Claude lẫn ChatGPT đều bị chặn ở Trung Quốc. Muốn truy cập thì cần VPN, và không thể thanh toán bằng thẻ ngân hàng Trung Quốc. Vì vậy phần lớn những ai muốn dùng Claude đều mua quyền truy cập qua reseller. Đây là cách dễ nhất và rẻ nhất để tiếp cận mô hình Anthropic ở Trung Quốc
  Các reseller này vận hành hàng chục nghìn tài khoản bot, và đó cũng là lý do Anthropic triển khai xác minh danh tính để làm chậm làn sóng bot
  Một reseller token đang bán Opus 4.8 với mức giảm 93% so với giá API chính thức: https://yunwu.ai/pricing?provider=Anthropic
  Đây cũng là một trong những lý do giá của DeepSeek và GLM rẻ đến vậy. Họ phải cạnh tranh với mức giá token phi lý ở Trung Quốc, nên muốn người ta dùng thì phải giữ giá thấp
  Tôi đã chia sẻ chuyện này vài tháng trước nhưng hầu như không nhận được phản hồi. Đây là một bài viết rất hay giải thích nền kinh tế bán lại token ở Trung Quốc: https://www.chinatalk.media/p/how-to-buy-cheap-claude-tokens...

  • Đây là điều tốt cho cạnh tranh. Việc người bán Trung Quốc đưa ra giải pháp rẻ hơn đúng là thị trường tự do mà tôi đã học trong kinh tế học
    Tôi cũng được học rằng nếu Anthropic muốn cạnh tranh thì họ nên làm tốt hơn công việc của mình. Nếu không thì sẽ có kẻ khác thắng
    Giờ nguyên tắc đó không còn áp dụng với các tập đoàn khổng lồ của Mỹ nữa à
  • Tôi hoàn toàn không bị thuyết phục bởi lời giải thích rằng DeepSeek và GLM rẻ là vì phải cạnh tranh với mức giá token phi lý ở Trung Quốc
    DeepSeek và GLM là open-weight, và các nhà cung cấp suy luận ở Mỹ cũng bán chúng với giá rẻ hơn nhiều. Lý do chúng rẻ là vì mô hình hiệu quả hơn
  • Nếu ý là họ đang gộp các tài khoản Claude Max 5x để bán lại dung lượng, dùng gian lận thanh toán và bán đầu ra mô hình cho nhiều viện nghiên cứu Trung Quốc, thì liệu như vậy có rẻ hơn việc tự kiếm tài khoản trực tiếp không
    Nếu không thì nghe giống luận điệu quen thuộc của phe bi quan về AI rằng “Anthropic/OpenAI đang bán 1.000 USD token với giá 100 USD và thua lỗ khủng khiếp”
  • Có vẻ Anthropic có thể đưa Mythos vào đây để xử lý thẳng tay vấn đề reseller. Chỉ cần mua nhiều tài khoản thông qua reseller, gửi các tin nhắn có UID, bắt chúng trong log của Anthropic, sau đó khóa tài khoản và chạy một vòng lặp dùng metadata để nhận diện các tài khoản liên quan
  • Thực ra mấy reseller đó chỉ đang lấy Kimi K2.5 hoặc GLM5.1 giả làm Opus để bán thôi. Người Trung Quốc từ lâu đã rất thạo trò hàng nhái trong nhiều ngành công nghiệp

• Hành vi của Alibaba được mô tả là nỗ lực “chưng cất”, và Anthropic nói đó là việc huấn luyện một mô hình yếu hơn bằng đầu ra của mô hình mạnh hơn
  Claude đã dùng lượng nội dung cỡ terabyte để huấn luyện mô hình của chính mình mà không xin phép, và họ nói như vậy là ổn. Giờ khi có người dùng đầu ra của mô hình Claude để huấn luyện mô hình khác thì họ lại kêu là bất công

  • Đâu có ổn. Họ đã phải trả 1 tỷ USD

• Tôi mong chờ một phiên tòa nơi Anthropic phải công khai nguồn dữ liệu huấn luyện của mình và giải thích vì sao họ có quyền cung cấp cho khách hàng dữ liệu huấn luyện bị nhai lại với thu phí, còn Alibaba thì không được dùng mô hình Anthropic để huấn luyện mô hình của mình
  Chắc sẽ thú vị lắm

  • Họ đã công khai rồi và đã trả 1,5 tỷ USD: https://authorsguild.org/advocacy/artificial-intelligence/wh...
  • Nếu trong đó có dù chỉ một đoạn mã nguồn GPL, thì họ phải công bố trọng số theo giấy phép GPL
  • Hung hăng và ồn ào có lợi hơn là nhất quán về mặt logic
  • Tôi đồng cảm với cảm xúc đó, nhưng xét đến vị thế quốc tế và quan hệ phức tạp của các bên, khả năng thực sự đi tới xét xử có vẻ thấp
    Hành động của Anthropic trông giống một cử chỉ mang tính trình diễn hơn. Những người khác cũng đã đoán khán giả mục tiêu của việc này là ai

• Chính xác thì cái gì là bất hợp pháp
  Về mặt pháp lý, đầu ra mô hình không thể được bảo hộ như sở hữu trí tuệ, dù theo luật trong nước hay quốc tế. Tối đa có thể kỳ vọng chỉ là biện pháp khắc phục dân sự, mà ngay cả điều đó cũng khó, xét việc chính cách họ dùng để huấn luyện mô hình theo nghĩa đen cũng là bất hợp pháp
  Anthropic đang bị đối xử đúng theo cách họ đã đối xử với mọi người. Họ tự làm cái giường này, giờ thì cứ phải nằm lên nó thôi

  • Anthropic là bậc thầy Newspeak. Trước đây với Mythos họ cũng từng đổi cách gọi bug thành lỗ hổng. “Chưng cất” chỉ là vi phạm điều khoản dịch vụ, đây là vấn đề dân sự chứ không phải tội hình sự. Nó không bất hợp pháp, cũng không phải là hành vi vi phạm pháp luật

• Hành vi của Alibaba được gọi là “chưng cất”, tức huấn luyện một mô hình yếu hơn bằng đầu ra của mô hình mạnh hơn, nhưng tôi không hiểu điều đó sai ở chỗ nào
  Anthropic nói chiến dịch này diễn ra từ ngày 22 tháng 4 năm 2026 đến ngày 5 tháng 6, và đã tạo ra hơn 28,8 triệu lượt tương tác với Claude thông qua gần 25.000 tài khoản gian lận
  Điều gì khiến các tài khoản đó trở thành gian lận. Nếu họ đã trả mức giá đã thỏa thuận thì chẳng phải là ổn sao. Nếu họ không trả tiền thì tại sao Anthropic lại cung cấp dịch vụ

  • Điều gì khiến chúng trở thành tài khoản gian lận à? Có thể là danh tính giả, và có thể là sự lừa dối nói chung về mục đích sử dụng
  • Vì điều khoản dịch vụ của Anthropic có nhiều điều kiện hơn rất nhiều so với kiểu “chỉ cần trả tiền là có thể dùng dịch vụ cho bất kỳ mục đích nào”
  • Chắc cũng có thể đọc vết suy luận rồi tự học nhỉ? /s

• Về cơ bản thì không thể ngăn chưng cất. Điều duy nhất có thể làm là trì hoãn nó. Cứ phản bác đi
  Cuối cùng thì các công ty Trung Quốc cũng sẽ tung ra các tiện ích mở rộng kiểu Honey, bám lên lưu lượng của khách hàng không phải người Trung Quốc, rồi dù sao cũng sẽ gửi mọi thứ về Trung Quốc
  Xong phim

  • Đã quá muộn để ngăn việc chưng cất một số năng lực như viết mã hay tìm lỗ hổng [1]
    Nhưng các phòng thí nghiệm AI vẫn có thể tiếp tục tạo ra giá trị kinh tế khổng lồ mà không cần công khai mô hình và để lộ chúng trước nguy cơ bị chưng cất. Ví dụ, họ có thể chỉ dùng mô hình nội bộ để phát triển thuốc điều trị
    Tôi hy vọng một ngày nào đó sẽ có tương lai mà những người khác cũng có thể tiếp cận các mô hình tiên tiến nhất, nhưng nếu người ta cho rằng việc ngăn sự lan rộng thông qua chưng cất là quan trọng hơn thì điều đó không hẳn là cần thiết
    [1]: tham khảo về chưng cất tại https://dualuse.dev/posts/export-controls-on-fable
  • Điều tôi không hiểu là việc chưng cất mà chúng ta thấy dường như chỉ xảy ra ở Trung Quốc. Điều gì ngăn các công ty công nghệ ở Anh, Đức hay nơi khác chưng cất Claude, GPT v.v.. Chẳng lẽ chỉ đơn giản là họ không đủ năng lực
    Ý chính là có thể không có giải pháp kỹ thuật, nhưng về lý thuyết có thể có giải pháp chính trị
  • Chừng nào các mô hình còn tiếp tục tiến bộ thì các mô hình được chưng cất tất yếu sẽ bị tụt lại phía sau. Các mô hình vẫn đang tiếp tục tiến hóa. Có thể đến một lúc nào đó trong tương lai chuyện này sẽ kết thúc
    Bài “False Promise of Imitating Proprietary LLMs” của Berkeley cũng cho rằng bắt chước tuy nhanh chóng thu hẹp khoảng cách về phong cách, nhưng khoảng cách về năng lực vẫn còn rất lớn
    https://arxiv.org/abs/2305.15717
  • Tôi thậm chí còn không nghĩ ra được lý do nào để xem đây là sai
  • Giống hệt như việc không thể ngăn web scraping. Cứ phản bác đi